數(shù)據(jù)安全管理辦法

1、數(shù)據(jù)平安治理方法 征求意見稿 第一章總那么第一條 為了維護(hù)國(guó)家平安、社會(huì)公共利益,保護(hù)公民、法人和其他組織在 網(wǎng)絡(luò)空間的合法權(quán)益,保證個(gè)人信息和重要數(shù)據(jù)平安,根據(jù)?中華人民共和國(guó)網(wǎng) 絡(luò)平安法?等法律法規(guī),制定本方法.第二條 在中華人民共和國(guó)境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)收集、 存儲(chǔ)、傳輸、處理、 使用等活動(dòng)以下簡(jiǎn)稱數(shù)據(jù)活動(dòng),以及數(shù)據(jù)平安的保護(hù)和監(jiān)督治理,適用本辦 法.純粹家庭和個(gè)人事務(wù)除外.法律、行政法規(guī)另有規(guī)定的,從其規(guī)定.第三條 國(guó)家堅(jiān)持保證數(shù)據(jù)平安與開展并重,鼓勵(lì)研發(fā)數(shù)據(jù)平安保護(hù)技術(shù), 積極推進(jìn)數(shù)據(jù)資源開發(fā)利用,保證數(shù)據(jù)依法有序自由流動(dòng).第四條 國(guó)家采取舉措,監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境

2、內(nèi)外的 數(shù)據(jù)平安風(fēng)險(xiǎn)和威脅,保護(hù)數(shù)據(jù)免受泄露、竊取、篡改、毀損、非法使用等,依 法懲治危害數(shù)據(jù)平安的違法犯罪活動(dòng).第五條 在中央網(wǎng)絡(luò)平安和信息化委員會(huì)領(lǐng)導(dǎo)下,國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、 指導(dǎo)監(jiān)督個(gè)人信息和重要數(shù)據(jù)平安保護(hù)工作.地市及以上網(wǎng)信部門依據(jù)責(zé)任指導(dǎo)監(jiān)督本行政區(qū)內(nèi)個(gè)人信息和重要數(shù)據(jù) 平安保護(hù)工作.第六條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)根據(jù)有關(guān)法律、行政法規(guī)的規(guī)定,參照國(guó)家網(wǎng)絡(luò)安 全標(biāo)準(zhǔn),履行數(shù)據(jù)平安保護(hù)義務(wù),建立數(shù)據(jù)平安治理責(zé)任和評(píng)價(jià)考核制度, 制定 數(shù)據(jù)平安方案,實(shí)施數(shù)據(jù)平安技術(shù)防護(hù),開展數(shù)據(jù)平安風(fēng)險(xiǎn)評(píng)估,制定網(wǎng)絡(luò)平安 事件應(yīng)急預(yù)案,及時(shí)處置平安事件,組織數(shù)據(jù)平安教育、培訓(xùn).第二章數(shù)據(jù)收集第七條 網(wǎng)絡(luò)運(yùn)營(yíng)

3、者通過(guò)網(wǎng)站、應(yīng)用程序等產(chǎn)品收集使用個(gè)人信息, 應(yīng)當(dāng)分 別制定并公開收集使用規(guī)那么.收集使用規(guī)那么可以包含在網(wǎng)站、應(yīng)用程序等產(chǎn)品的 隱私政策中,也可以其他形式提供給用戶.第八條 收集使用規(guī)那么應(yīng)當(dāng)明確具體、簡(jiǎn)單通俗、易于訪問(wèn),突出以下內(nèi)容：一網(wǎng)絡(luò)運(yùn)營(yíng)者根本信息；二網(wǎng)絡(luò)運(yùn)營(yíng)者主要負(fù)責(zé)人、數(shù)據(jù)平安責(zé)任人的姓名及聯(lián)系方式；三收集使用個(gè)人信息的目的、種類、數(shù)量、頻度、方式、范圍等；四個(gè)人信息保存地點(diǎn)、期限及到期后的處理方式；五向他人提供個(gè)人信息的規(guī)那么,如果向他人提供的；六個(gè)人信息平安保護(hù)策略等相關(guān)信息；七個(gè)人信息主體撤銷同意,以及查詢、更正、刪除個(gè)人信息的途徑和方 法；八投訴、舉報(bào)渠道和方法等；九法律

4、、行政法規(guī)規(guī)定的其他內(nèi)容.第九條 如果收集使用規(guī)那么包含在隱私政策中, 應(yīng)相對(duì)集中,明顯提示,以 方便閱讀.另僅當(dāng)用戶知悉收集使用規(guī)那么并明確同意后, 網(wǎng)絡(luò)運(yùn)營(yíng)者方可收集個(gè) 人信息.第十條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)嚴(yán)格遵守收集使用規(guī)那么,網(wǎng)站、應(yīng)用程序收集或使 用個(gè)人信息的功能設(shè)計(jì)應(yīng)同隱私政策保持一致,同步調(diào)整.第十一條網(wǎng)絡(luò)運(yùn)營(yíng)者不得以改善效勞質(zhì)量、提升用戶體驗(yàn)、定向推送信息、 研發(fā)新產(chǎn)品等為由,以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)個(gè)人信息主體同意 其收集個(gè)人信息.個(gè)人信息主體同意收集保證網(wǎng)絡(luò)產(chǎn)品核心業(yè)務(wù)功能運(yùn)行的個(gè)人信息后,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)向個(gè)人信息主體提供核心業(yè)務(wù)功能效勞,不得因個(gè)人信息主體拒絕或者撤銷

5、同意收集上述信息以外的其他信息,而拒絕提供核心業(yè)務(wù)功能效勞.第十二條 收集14周歲以下未成年人個(gè)人信息的,應(yīng)當(dāng)征得其監(jiān)護(hù)人同意.第十三條網(wǎng)絡(luò)運(yùn)營(yíng)者不得依據(jù)個(gè)人信息主體是否授權(quán)收集個(gè)人信息及授權(quán)范圍,對(duì)個(gè)人信息主體采取歧視行為,包括效勞質(zhì)量、價(jià)格差異等.第十四條網(wǎng)絡(luò)運(yùn)營(yíng)者從其他途徑獲得個(gè)人信息,與直接收集個(gè)人信息負(fù)有 同等的保護(hù)責(zé)任和義務(wù).第十五條 網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的, 應(yīng)向 所在地網(wǎng)信部門備案.備案內(nèi)容包括收集使用規(guī)那么,收集使用的目的、規(guī)模、方 式、范圍、類型、期限等,不包括數(shù)據(jù)內(nèi)容本身.第十六條 網(wǎng)絡(luò)運(yùn)營(yíng)者采取自動(dòng)化手段訪問(wèn)收集網(wǎng)站數(shù)據(jù), 不得阻礙網(wǎng)站正 常

6、運(yùn)行；此類行為嚴(yán)重影響網(wǎng)站運(yùn)行,如自動(dòng)化訪問(wèn)收集流量超過(guò)網(wǎng)站日均流量 三分之一,網(wǎng)站要求停止自動(dòng)化訪問(wèn)收集時(shí),應(yīng)當(dāng)停止.第十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的, 應(yīng)當(dāng) 明確數(shù)據(jù)平安責(zé)任人.數(shù)據(jù)平安責(zé)任人由具有相關(guān)治理工作經(jīng)歷和數(shù)據(jù)平安專業(yè)知識(shí)的人員擔(dān)任, 參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策,直接向網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人報(bào)告工作.第十八條數(shù)據(jù)平安責(zé)任人履行以下責(zé)任：一組織制定數(shù)據(jù)保護(hù)方案并催促落實(shí)；二組織開展數(shù)據(jù)平安風(fēng)險(xiǎn)評(píng)估,催促整改平安隱患；三按要求向有關(guān)部門和網(wǎng)信部門報(bào)告數(shù)據(jù)平安保護(hù)和事件處置情況；四受理并處理用戶投訴和舉報(bào).網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)為數(shù)據(jù)平安責(zé)任人提供必要的資源,保證其獨(dú)

7、立履行責(zé)任.第三章數(shù)據(jù)處理使用第十九條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)參照國(guó)家有關(guān)標(biāo)準(zhǔn),采用數(shù)據(jù)分類、備份、加密 等舉措增強(qiáng)對(duì)個(gè)人信息和重要數(shù)據(jù)保護(hù).第二十條 網(wǎng)絡(luò)運(yùn)營(yíng)者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)那么中的保存期限, 用戶注銷賬號(hào)后應(yīng)當(dāng)及時(shí)刪除其個(gè)人信息,經(jīng)過(guò)處理無(wú)法關(guān)聯(lián)到特定個(gè)人且不能 復(fù)原以下稱匿名化處理的除外.第二十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收到有關(guān)個(gè)人信息查詢、 更正、刪除以及用戶注銷 賬號(hào)請(qǐng)求時(shí),應(yīng)當(dāng)在合理時(shí)間和代價(jià)范圍內(nèi)予以查詢、更正、刪除或注銷賬號(hào).第二十二條網(wǎng)絡(luò)運(yùn)營(yíng)者不得違反收集使用規(guī)那么使用個(gè)人信息.因業(yè)務(wù)需要. 確需擴(kuò)大個(gè)人信息使用范圍的,應(yīng)當(dāng)征得個(gè)人信息主體同意.第二十三條網(wǎng)絡(luò)運(yùn)營(yíng)者利用用戶數(shù)據(jù)和

8、算法推送新聞信息、商業(yè)廣告等以下簡(jiǎn)稱“定向推送,應(yīng)當(dāng)以明顯方式標(biāo)明“定推字樣,為用戶提供停 止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時(shí),應(yīng)當(dāng)停止推送, 并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶數(shù)據(jù)和個(gè)人信息.網(wǎng)絡(luò)運(yùn)營(yíng)者開展定向推送活動(dòng)應(yīng)遵守法律、行政法規(guī),尊重社會(huì)公德、商業(yè) 道德、公序良俗,老實(shí)守信,嚴(yán)禁歧視、欺詐等行為.第二十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者利用大數(shù)據(jù)、人工智能等技術(shù)自動(dòng)合成新聞、博文、 帖子、評(píng)論等信息,應(yīng)以明顯方式標(biāo)明“合成字樣；不得以謀取利益或損害他 人利益為目的自動(dòng)合成信息.第二十五條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采取舉措催促提醒用戶對(duì)自己的網(wǎng)絡(luò)行為負(fù)責(zé)、 增強(qiáng)自律,對(duì)于用戶通過(guò)社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他

9、人制作的信息, 應(yīng)自動(dòng)標(biāo)注信息制作者 在該社交網(wǎng)絡(luò)上的賬戶或不可更改的用戶標(biāo)識(shí).第二十六條 網(wǎng)絡(luò)運(yùn)營(yíng)者接到相關(guān)假冒、仿冒、盜用他人名義發(fā)布信息的舉 報(bào)投訴時(shí),應(yīng)當(dāng)及時(shí)響應(yīng),一旦核實(shí)立即停止傳播并作刪除處理.第二十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者向他人提供個(gè)人信息前,應(yīng)當(dāng)評(píng)估可能帶來(lái)的平安 風(fēng)險(xiǎn),并征得個(gè)人信息主體同意.以下情況除外：一從合法公開渠道收集且不明顯違背個(gè)人信息主體意愿；二個(gè)人信息主體主動(dòng)公開；三經(jīng)過(guò)匿名化處理；四執(zhí)法機(jī)關(guān)依法履行責(zé)任所必需；五維護(hù)國(guó)家平安、社會(huì)公共利益、個(gè)人信息主體生命平安所必需.第二十八條網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當(dāng) 評(píng)估可能帶來(lái)的平安風(fēng)險(xiǎn),并報(bào)經(jīng)行業(yè)主

10、管監(jiān)管部門同意；行業(yè)主管監(jiān)管部門不 明確的,應(yīng)經(jīng)省級(jí)網(wǎng)信部門批準(zhǔn).向境外提供個(gè)人信息按有關(guān)規(guī)定執(zhí)行.第二十九條 境內(nèi)用戶訪問(wèn)境內(nèi)互聯(lián)網(wǎng)的,其流量不得被路由到境外.第三十條網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)接入其平臺(tái)的第三方應(yīng)用,應(yīng)明確數(shù)據(jù)平安要求和 責(zé)任,催促監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者增強(qiáng)數(shù)據(jù)平安治理.第三方應(yīng)用發(fā)生數(shù)據(jù)平安 事件對(duì)用戶造成損失的,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)局部或全部責(zé)任, 除非網(wǎng)絡(luò)運(yùn)營(yíng)者 能夠證實(shí)無(wú)過(guò)錯(cuò).第三十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者兼并、重組、破產(chǎn)的,數(shù)據(jù)承接方應(yīng)承接數(shù)據(jù)平安 責(zé)任和義務(wù).沒有數(shù)據(jù)承接方的,應(yīng)當(dāng)對(duì)數(shù)據(jù)作刪除處理.法律、行政法規(guī)另有 規(guī)定的,從其規(guī)定.第三十二條網(wǎng)絡(luò)運(yùn)營(yíng)者分析利用所掌握的數(shù)據(jù)資源,發(fā)布市

11、場(chǎng)預(yù)測(cè)、統(tǒng)計(jì) 信息、個(gè)人和企業(yè)信用等信息,不得影響國(guó)家平安、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定,不得 損害他人合法權(quán)益.第四章數(shù)據(jù)平安監(jiān)督治理第三十三條網(wǎng)信部門在履行責(zé)任中,發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)平安治理責(zé)任落 實(shí)不到位,應(yīng)根據(jù)規(guī)定的權(quán)限和程序約談網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人,催促整改.第三十四條 國(guó)家鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者自愿通過(guò)數(shù)據(jù)平安治理認(rèn)證和應(yīng)用程序 平安認(rèn)證,鼓勵(lì)搜索引擎、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過(guò)認(rèn)證的應(yīng)用程序.國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院市場(chǎng)監(jiān)督治理部門, 指導(dǎo)國(guó)家網(wǎng)絡(luò)平安審查與認(rèn)證 機(jī)構(gòu),組織數(shù)據(jù)平安治理認(rèn)證和應(yīng)用程序平安認(rèn)證工作.第三十五條發(fā)生個(gè)人信息泄露、毀損、喪失等數(shù)據(jù)平安事件,或者發(fā)生數(shù) 據(jù)平安事件風(fēng)險(xiǎn)

12、明顯加大時(shí),網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救舉措,及時(shí)以 、 短信、郵件或信函等方式告知個(gè)人信息主體,并按要求向行業(yè)主管監(jiān)管部門和網(wǎng) 信部門報(bào)告.第三十六條國(guó)務(wù)院有關(guān)主管部門為履行維護(hù)國(guó)家平安、社會(huì)治理、經(jīng)濟(jì)調(diào) 控等責(zé)任需要,依照法律、行政法規(guī)的規(guī)定,要求網(wǎng)絡(luò)運(yùn)營(yíng)者提供掌握的相關(guān)數(shù) 據(jù)的,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)予以提供.國(guó)務(wù)院有關(guān)主管部門對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提供的數(shù)據(jù)負(fù)有平安保護(hù)責(zé)任,不得用于與履行責(zé)任無(wú)關(guān)的用途.第三十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者違反本方法規(guī)定的,由有關(guān)部門依照相關(guān)法律、行 政法規(guī)的規(guī)定,根據(jù)情節(jié)給予公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整 頓、關(guān)閉網(wǎng)站、撤消相關(guān)業(yè)務(wù)許可證或撤消營(yíng)業(yè)執(zhí)照等處分；構(gòu)成犯罪的,依法 追究刑事責(zé)任.第五章附那么第三十八條本方法以下用語(yǔ)的含義：一網(wǎng)絡(luò)運(yùn)營(yíng)者,是指網(wǎng)絡(luò)的所有者、治理者和網(wǎng)絡(luò)效勞提供者.二網(wǎng)絡(luò)數(shù)據(jù),是指通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子 數(shù)據(jù).三個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息 結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、 身份證件號(hào)、個(gè)人生物識(shí)